Dünya çapında milyonlarca programcının kullandığı geliştirici araçları, tüm organizasyonu tehlikeye atmak isteyen saldırganların ana hedefi haline geldi.
Visual Studio Code ve Cursor AI gibi yapay zeka destekli IDE’ler, uzantı pazarlarıyla birleştirildiğinde yazılım tedarik zincirinde kritik bir güvenlik açığı ortaya çıkarıyor.
Normal kullanıcıların aksine, geliştiriciler hassas kimlik bilgilerine, kaynak kodu depolarına ve üretim sistemlerine erişime sahiptir ve bu da onları karmaşık tehdit aktörleri için değerli hedefler haline getirir.
Bu pazarlara kötü amaçlı uzantılar yayınlamanın endişe verici derecede basit olduğunu gösteren yeni bir güvenlik endişesi ortaya çıktı.
Saldırı vektörü, geliştiricilerin günlük geliştirme ortamlarına duydukları güveni istismar ederek, bu platformları güvende tutmak için tasarlanmış birden fazla koruma katmanını atlıyor.
Saldırganlar, zararlı kodları meşru araçlar olarak gizleyerek, tipik güvenlik alarmlarını tetiklemeden geliştirici makinelerine kalıcı erişim sağlayabilirler.
Siber güvenlik mühendisi Mazin Ahmed, saldırganların bu uzantı pazarları aracılığıyla arka kapıları nasıl başarıyla yayınladıklarını belirledi ve belgeledi.
.webp)
Ahmed’in araştırması, Piithon-linter adlı kötü amaçlı bir Python linter uzantısının, anında tespit edilmekten kaçınmak için kasıtlı olarak yanlış yazıldığını, Microsoft’un güvenlik taramasından geçtiğini ve VS Code Marketplace’te kullanıma sunulduğunu gösterdi.
Ortam değişkenlerinin sızması
Bu özellik, saldırganların hassas kimlik bilgileri içeren ortam değişkenlerine sızmasına ve kurulum sonrasında uzaktan erişim araçlarını dağıtmasına olanak sağladı.
Bu saldırının en endişe verici yönü, kötü amaçlı yazılımın kalıcılığını nasıl koruduğu ve tespit sistemlerinden nasıl kaçtığıdır.
VS Code başlatıldığında, uzantının yapılandırmasında belirtilen etkinleştirme olayları sayesinde kötü amaçlı uzantı, kullanıcı etkileşimi gerektirmeden otomatik olarak yürütülür.
Uzantının kodu öncelikle antivirüs veya uç nokta algılama çözümlerini çalıştırmak için tarama yapar. Güvenlik yazılımı keşfedilirse kötü amaçlı yazılım yürütmeyi durdurur.
Ancak sistem güvenli görünüyorsa uzantı, ortam değişkenlerini toplamaya ve saldırganlara tam uzaktan erişim sağlayan bir Merlin komuta ve kontrol aracısını dağıtmaya devam ediyor.
Uzantı, çalışma zamanında işletim sistemini bile belirleyerek Windows, macOS veya Linux sistemleri için uygun yükü yürütmesine olanak tanır. Araştırma, güvenlik taramasındaki temel boşlukları ortaya çıkardı.
.webp)
Uzantıları kontrollü bir ortamda test ettiği iddia edilen Microsoft’un sanal alan analizi, Microsoft’un Amerika Birleşik Devletleri merkezli test altyapısında kod çalıştırıldığında tespit edilen coğrafi sınırlama teknikleri yoluyla atlandı.
Cursor AI’yi ve diğer AI destekli IDE’leri destekleyen pazar yeri olan OpenVSX, yalnızca kullanıcı raporlamasına ve sözleşme koşullarına dayanarak esasen hiçbir güvenlik doğrulaması gerçekleştirmez.
Bu keşifler rahatsız edici bir gerçeğin altını çiziyor: Bir sonraki büyük tedarik zinciri uzlaşması, güvendikleri ve her gün kullandıkları editörler ve geliştiricilerden kaynaklanabilir.
Gelişmiş güvenlik kontrolleri ve doğrulama mekanizmaları olmadan, bu hayati önem taşıyan geliştirme araçları tehlikeli bir şekilde koordineli saldırılara açık olmaya devam eder.
Daha Fazla Anında Güncelleme Almak için Bizi Google Haberler, LinkedIn ve X’te Takip Edin, CSN’yi Google’da Tercih Edilen Kaynak olarak ayarlayın.
